pki技术
三、ca(证书颁发机构)概述
san ca zheng shu fen fa ji gou gai shu
1.什么是证书
1. shen me shi zheng shu
pki系统中的数字证书简称证书,它把公钥和拥有对应私钥的主题的标识信息捆绑在一起。数字证书是由权威公正的第三方机构即ca中心签发的,以数字证书为核心的机密技术可以对网上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,以及通信双方身份的真实性、签名信息的不可否认性,从而保障网络应用的安全性。
pki xi tong zhong de shu zi zheng shu jian cheng zheng shu ta ba gong yao he yong you dui ying si yao de zhu ti de biao shi xin xi kun bang zai yi qi shu zi zheng shu shi you quan wei gong zheng de di san fang ji gou ji ca zhong xin qian fa de yi shu zi zheng shu wei he xin de ji mi ji shu ke yi dui wang shang chuan shu de xin xi jin hang jia mi he jie mi shu zi qian ming he qian ming yan zheng que bao wang shang chuan di xin xi de ji mi xing wan zheng xing yi ji tong xin shuang fang shen fen de zhen shi xing qian ming xin xi de bu ke fou ren xing cong er bao zhang wang luo ying yong de an quan xing
2.ca的作用
2.ca de zuo yong
ca的5个子系统:
ca de 5 ge zi xi tong
ø
ø
ca自身密钥证书管理子系统。负责生成ca自身的公用私用密钥对和根证书,其中私钥用于给证书签名。
ca zi shen mi yao zheng shu guan li zi xi tong fu ze sheng cheng ca zi shen de gong yong si yong mi yao dui he gen zheng shu qi zhong si yao yong yu gei zheng shu qian ming
ø
ø
用户密钥证书管理子系统。当用户的证书申请得到批准后,将用户信息和公钥绑定,用ca的私用密钥签名,生成用户的数字证书。并且将加密后的证书发放给批准用户的ra,把证书加入到证书数据库。
yong hu mi yao zheng shu guan li zi xi tong dang yong hu de zheng shu shen qing de dao pi zhun hou jiang yong hu xin xi he gong yao bang ding yong ca de si yong mi yao qian ming sheng cheng yong hu de shu zi zheng shu bing qie jiang jia mi hou de zheng shu fa fang gei pi zhun yong hu de ra ba zheng shu jia ru dao zheng shu shu ju ku
ø
ø
密钥存储恢复子系统。它允许管理员恢复加密密钥,
mi yao cun chu hui fu zi xi tong ta yun hu guan li yuan hui fu jia mi mi yao
ø
ø
crl表管理子系统。当ca颁发的证书失效或ca接受用户废除证书的请求时,负责将这些证书列入crl表,公布在目录中。
crl biao guan li zi xi tong dang ca fen fa de zheng shu shi xiao huo ca jie shou yong hu fei chu zheng shu de qing qiu shi fu ze jiang zhe xie zheng shu lie ru crl biao gong bu zai mu lu zhong
ø
ø
目录服务子系统。ca通过ldap协议向用户发布证书以及crl表,以提供给用户查询使用。
mu lu fu wu zi xi tong ca tong guo ldap xie yi xiang yong hu fa bu zheng shu yi ji crl biao yi ti gong gei yong hu cha xun shi yong
ca的核心功能就是颁发和管理数字,具体描述如下:
ca de he xin gong neng jiu shi fen fa he guan li shu zi ju ti miao shu ru xia
ø
ø
接收验证最终用户数字证书的申请
jie shou yan zheng zui zhong yong hu shu zi zheng shu de shen qing
ø
ø
确定是否接受最终用户证书的申请—证书的审批
que ding shi fou jie shou zui zhong yong hu zheng shu de shen qing zheng shu de shen pi
ø
ø
向申请者颁发、拒绝颁发数字证书—证书的发放
xiang shen qing zhe fen fa ju jue fen fa shu zi zheng shu zheng shu de fa fang
ø
ø
接收、处理最终用户的数字证书更新请求—证书的更新
jie shou chu li zui zhong yong hu de shu zi zheng shu geng xin qing qiu zheng shu de geng xin
ø
pki技术
ø
pki ji shu
接收最终用户数字证书的查询、撤消
jie shou zui zhong yong hu shu zi zheng shu de cha xun che xiao
ø
ø
产生和发布证书吊销列表(crl)
chan sheng he fa bu zheng shu diao xiao lie biao crl
ø
ø
数字证书的归档
shu zi zheng shu de gui dang
ø
ø
密钥归档
mi yao gui dang
ø
ø
历史数据归档
li shi shu ju gui dang
3.证书的发放过程
3. zheng shu de fa fang guo cheng
ca采用c/s结构模式,客户端的程序提供了ca系统初始化、用户证书管理、用户密钥管理和crl管理等功能。
ca cai yong c/s jie gou mo shi ke hu duan de cheng xu ti gong le ca xi tong chu shi hua yong hu zheng shu guan li yong hu mi yao guan li he crl guan li deng gong neng
用户证书申请审核功能由ra来完成,ra管理系统把通过申请审核的数据导入到ca管理系统的申请库中。终端实体申请ca证书的流程如下:
yong hu zheng shu shen qing shen he gong neng you ra lai wan cheng ra guan li xi tong ba tong guo shen qing shen he de shu ju dao ru dao ca guan li xi tong de shen qing ku zhong zhong duan shi ti shen qing ca zheng shu de liu cheng ru xia
1)证书申请 2)ra确认用户 3)证书策略处理
1 zheng shu shen qing 2 ra que ren yong hu 3 zheng shu ce lue chu li
4)ra提交用户申请信息到ca。用私钥签名
4 ra ti jiao yong hu shen qing xin xi dao ca yong si yao qian ming
5)ca为用户生成密钥对,并用ca的签名密钥对用户的公钥和用户信息id进行签名,生成电子证书,这样ca就将用户的信息和公钥捆绑在一起了。然后将用户的数字证书和公用密钥公布到目录中。
5 ca wei yong hu sheng cheng mi yao dui bing yong ca de qian ming mi yao dui yong hu de gong yao he yong hu xin xi id jin hang qian ming sheng cheng dian zi zheng shu zhe yang ca jiu jiang yong hu de xin xi he gong yao kun bang zai yi qi le ran hou jiang yong hu de shu zi zheng shu he gong yong mi yao gong bu dao mu lu zhong
6)ca将电子证书传送给批准该用户的ra,私钥用另外一种更安全的方式给ra
6 ca jiang dian zi zheng shu chuan song gei pi zhun gai yong hu de ra si yao yong ling wai yi zhong geng an quan de fang shi gei ra
7)ra将电子证书传送给用户,私钥用另外一种更安全的方式给用户
7 ra jiang dian zi zheng shu chuan song gei yong hu si yao yong ling wai yi zhong geng an quan de fang shi gei yong hu
8)用户验证ca颁发的证书。
8 yong hu yan zheng ca fen fa de zheng shu
4.证书的主要用途
4. zheng shu de zhu yao yong tu
1)信息的保密性
1 xin xi de bao mi xing
2)交易者身份的确定性
2 jiao yi zhe shen fen de que ding xing
3)不可否认性
3 bu ke fou ren xing
4)不可修改性
4 bu ke xiu gai xing
pki技术
|
|
|